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摘 要 : Sujata 等 人 在 2012 年 提出 了 一 个 基于 离散 对 数 的 强 指 ee 密 方案 ， 然 而 分 析 可 知 Sujata 等 人 的 方 
案 无 法 抵抗 授权 攻击 ， 并 且 验 证 权 有 具有 可 委托 性 。 针 对 上 述 不 足 ， 给 出 一 个 改进 的 强 指 定 验 证 者 签 密 方案 ， 仅 有 指 
定 的 验证 者 才能 验证 签 密 密 文 的 有 效 性 ; 此 外 ， 指定 的 验证 者 能 够 生成 一 个 与 原始 签 密 密 文 不 可 区 分 的 签 密 副本 。 
安全 分 析 表 明 ， 该 方案 不 仅 能 够 抵抗 适应 性 选择 明文 攻击 ， 而 且 在 提供 认证 的 同时 可 保证 签 密 密 文 的 不 可 伪造 性 
由 于 该 方案 的 上 述 优越 性 能 ， 在 实际 生活 中 具有 广泛 的 应 用 前 景 ， 如 区 块 链 、 电 子 投票 、 电 子 招标 等 场景 。 
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Abstract: In 2012, Sujata et al. proposed a strong designated verifier signcryption scheme based on discrete logarithm. 
However, it cannot resist the delegable attack. In this paper, this paper proposed a strong designated verifier signcryption 
scheme, in which, the designated verifier can only verify the validity of the message. At the same time, the designated 
verifier can generate a signed transcript that is indistinguishable with the original signed ciphertext. Through the security 
analysis, proposed scheme can resist the adaptive choice plaintext attacks. In addition, it can guarantee the non-forgery of 
the signed ciphertext while providing authentication. Due to the above superior performance of the scheme, proposed 
solution can be applied to blockchain, electronic voting, tendering, and other realistic scenarios. 
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2005 年 Lipmaa 等 人 中 提出 一 个 针对 指定 验证 者 签名 的 


0 引证 攻击 模型 ， 命 名 为 授权 攻击 。 因 此 为 指定 验证 者 签名 增加 了 
签 密 是 1997 年 由 Zheng 首 次 提出 的 一 种 新 的 密码 学 原 ”一 个 新 的 安全 属性 《〈 称 之 为 非 授 权 性 ) ， 并 证 明 已 有 几 个 指 


语 ， 签 密 能 够 在 一 个 合理 的 逻辑 步骤 内 同时 完成 数字 签名 和 ” 定 验 证 者 签名 方案 都 不 能 抵抗 授权 攻击 。 授 权 攻 击 的 基本 思 
公 钥 加 密 两 项 功能 ， 而 其 计算 量 和 通信 成 本 都 要 低 于 传统 的 。 ” 想 是 ， 签 名 者 或 者 指定 验证 者 可 以 在 不 泄露 自身 私 钥 的 情况 
“ 先 签名 后 加 密 ”。 在 签 密 方案 中 ， 签 密 文 本 发 送 者 通常 用 下 ， 把 签名 权 或 者 验证 权 授 权 给 第 三 方 ， 这 是 安全 的 指定 验 
接收 者 的 公 钥 生成 一 个 实现 两 者 之 | 


司 对 称 加 密 的 会 话 密 钥 ， 证 者 签名 方案 不 希望 具备 的 性 质 。 
接收 者 用 自己 的 私 钥 也 可 以 产生 一 个 相同 的 会 话 密 钥 ， 此 会 2012 年 ，Sujata 等 人 四 提出 了 一 个 基于 离散 对 数 的 强 指 
话 密 钥 安全 性 是 认证 和 加 密 的 安全 保障 。 定 验 证 者 签 密 方案 , 然而 分 析 可 知 Sujata 等 人 的 方案 无 法 抵 
为 增强 签名 者 的 隐私 性 ，Jakobsson 等 人 中 首 次 提出 强 指 抗 授 权 攻 击 ， 并 且 验 证 权 可 委托 性 ， 为 此 本 文 给 出 一 个 


定 验 证 者 签名 (strong designated verifier signature,SDVS) 的 改进 的 强 指定 验证 者 签 密 方案 。 在 此 方案 中 签 密 文本 只 能 被 
概念 。 只 有 指定 验证 者 相信 签名 的 有 效 性 。 然 而 ， 任 何 得 到 指定 验证 者 验证 ， 在 实现 相同 功能 的 条 件 下 计算 效率 远 远 高 
签名 的 人 可 以 验证 签名 有 效 性 ， 即 可 判断 真正 签 Te 于 文献 [6,7] 方 案 ， 并 给 出 了 安全 性 和 效率 分 析 。 
中 的 一 个 。 为 了 解决 这 个 问题 ，2003 年 Saeednia 等 人 提出 Wh 

了 一 个 强 指 定 验 证 者 签名 方案 ， 这 个 方案 中 只 有 拥有 指定 验 I 数学 基础 


证 者 私 钥 的 人 才 可 以 验证 签名 的 有 效 性 ,与 此 同时 , Saeednia ”1.1 离散 对 数 问题 

等 人 6 首次 提出 强 指定 验证 者 签 密 的 概念 ， 强 指定 验证 者 签 设 P 是 素数 ，a 是 ?的 本 原 根 ， 即 a',a'…a” 在 模 P 下 产 
密 将 签 密 和 指定 验证 者 结合 起 来 ,在 实现 可 否认 认证 的 同时 ， 生 1 ee 所 以 对 vs 由 2…p-1] ， 有 唯一 的 
保证 消息 机 密 性 。 is{t2…D- 使 得 2=wmodp ， 称 i 为 模 P 下 以 a4 为 底 b 的 离 
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散 对 数 ， 记 为 1=log ,pmodP 。 
数 算法 可 比较 容易 地 求 出 b, 但 当 a、b 和 P 


非常 困难 。 目 前 


1.2 安全 模型 
1.2.1 不 可 区 分 性 


如 果 


对 任 


已 知 的 最 快 上 
为 O(exp(np)”Indn)”) ， 所 以 当 


s(k) ， 上 为 安全 参数 ， 使 得 


下 04; 


李 元 晓 周彦 伟 ， 等 : 


、 了 、i 已 知 时 ， 用 快速 指 
己 知 时 ， 求 i 则 
的 求 离散 对 数 算法 其 时 间 复 杂 度 

? 很 大 时 ， 该 算法 也 是 不 可 行 。 


当 a 


可 多 项 式 时 间 敌 手 4 ， 存 在 一 个 可 忽略 的 函数 


4dvgt(bD < e(k) 


， 那 么 就 称 这 个 算 


法 开 是 语义 安全 的 ， 或 者 称 为 在 选择 明文 攻击 下 
分 性 ， 简 称 为 IND-CPA 安全 。 


有 不 可 区 
体 游 戏 描述 如 


0 图 


1 所 示 ， 


a) 挑 战 者 运行 密 钥 生成 算法 生成 签 密 文 本 接收 者 的 公私 
钥 对 (sh6, Ph) ， 并 将 phs 发 送 给 敌手 4。 
行 签 密 询 问 时 ， 选 择 一 个 消息 meM 和 接收 
者 的 公 钥 ph 将 其 发 送 给 挑战 者 。 挑 战 者 模拟 签 密 预言 机 ， 


b) 政 


对 Gn,sk,ph) 进 


手 在 进 


行 签 密 


A y 


后 返回 相应 的 结果 给 敌手 4。 


c) 敌 手 4 选择 两 个 相同 长 度 的 消息 mw,m eM 和 一 个 公 铀 
Ph 发 送 给 挑战 者 ， 挑 战 者 随机 选择 re{0,D} ， 计 算 一 个 对 于 
消息 m,、 签 密 者 的 私 钥 w 、 指 定 验 证 者 的 公 钥 pk 的 签 密 
文本 5'=Signcryption(m,,sk,,pk,)， 并 将 5' 发 送 给 敌手 4 作为 挑 
战 密 文 。 
dd) 敌手 输出 。 如 果 +=x' 则 敌手 区 分 成 功 。 敌 手 4 的 优 
势 可 定义 为 参数 为 上 的 函数 : Advi Prr"=7]-1/2|。 
c Dh » A 
询问 ， (m, sk,, pk, ) 
6 
应 答 : 本 
挑战 : one MA 
应 答 全 
判断 ; 如果 了 二 六 ， 则 敌手 区 分 成 功 
7 
图 1 不 可 区 分 性 游戏 过 程 图 


Fig. 1 


The process of indistinguishable game 


1.2.2 不 可 伪造 性 


如 果 对 任何 多 项 式 时 


negl ， 使 


名 方案 1 
不 可 伪造 
描述 如 下 051: 


间 敌 手 4 ， 存 在 一 个 可 忽略 的 函数 
a 满足 Pr[Sig-forge, n(n)=1]<negl(n) ， 那么 就 称 这 个 签 
=(Gen,Sign, Vrfy) 在 适应 性 选择 消 
的 ， 简 称 为 EF-CMA 安全 。 如 图 


息 攻 击 下 是 存在 性 
2 所 示 ， 具 体 游戏 


a) 挑 战 者 运行 密 钥 生 成 算法 ， 生 成 签 密 文本 接收 者 的 公 
私 钥 对 (sk,, pk,) ， 并 将 pk, 发 送 给 敌手 4。 
b) 敌 手 在 进行 签 密 询 问 时 ， 选 择 一 个 消息 meM 和 接受 


者 的 公 钥 pk 将 其 发 送 给 挑 


对 (m, sk,, pk ) 进行 签名 » 


c) 收 手 4 选 择 一 个 相 
送 给 挑战 者 ， 计 算 一 个 对 于 消息 m、 
定 验 证 者 的 公 钥 ph 的 签 密 文本 5 ， 


为 挑战 密 文 。 


d) 政 手 


问 过 ， 则 


战 者 。 挑 战 者 模拟 签名 预言 机 ， 
将 结果 返回 
同 长 度 的 消息 mw eM 和 公 钥 ph 发 


给 敌手 4A。 


签 密 者 的 私 钥 sk 、 指 


将 5 发 送 给 敌手 4 作 


) 。 如 果 Viymw4m,6)=1 且 m' 之 前 没有 询 


2 
2.1 


ChinaXiv 合 作 期 刊 


一 个 改进 的 强 指定 验证 者 签 密 方 案 


第 37 卷 第 2 期 


k, 
c Piop 着 
(m, sk,, pk, ) 

询问 所 

6 
应 答 : Ld 

6' = Signcryption(m,', sk,, pk,) 
挑战 : < ? 
如 果 验 证 通过 ， 则 输出 1 

判断 : > 


图 2 不 可 伪造 性 游戏 过 程 图 


Fig.2 The process of unforgeable game 


Sujata 强 指定 验证 者 签 密 方案 


方案 概述 


该 方案 首先 生成 | 


为 -1 的 素 因 子 ) ， 生 成 元 ss2 阶 


输 吕 


(2， 


2.2 


的 值 属 于 2 。 
Alice 选择 自 
=s"modp， 同 样 ， 指 定 验证 者 Bob 也 有 


户 的 公开 参数 : 两 个 安全 素数 P,4 (4 


为 ?9 ， 单 向 哈 希 函数 已， 


签名 者 Alice 拥 


己 的 密 钥 对 (%,3,) 。 


己 的 私 钥 eZ， 


其 中 y, = g* modp 。 

签 密 的 生成 

Alice 随机 选择 1e 2 ; 

Alice 计算 ,r,s,C 如 下 : 

K=y, modp 
C= Ex(m) 
大 三 再 (有 


y,) 
1) 
a 


b 


WA 


计算 相对 应 的 公 钥 
己 的 密 钥 对 


$s=1—rx, modg 


c) Alice 发 送 签 密 文 本 5=(7,s,C) 给 指定 接收 者 Bob; 


2) 解 签 密 
a) Bob 收 到 签 密 文本 5=(7,s,C) 后 ， 


私 钥 为 计算 出 K': 


K'=(g'y,)* modp 


b) 验证 r=H(K"); 
c) 计算 m= Di(C) 。 
方案 分 析 
指定 验证 者 签名 的 本 意 是 指 : Al 


ice 向 Bob 证 明 论 断 @ 的 


现 。 


正确 + 7 通过 订 


E 明 “@ 是 正确 的 ?或 "她 知道 Bob 的 私 钥 ” 来 实 
但 是 此 指定 验证 者 签名 方案 设计 时 , 变换 成 证 明 命题 “@ 


是 正确 的 ”或 “她 知道 部 分 信息 ”， 这 个 部 分 
私 钥 〈 公 钥 ) 和 Bob 公 钥 ( 私 钥 〉 的 单 向 函数 ， 
单 向 函数 是 无 法 得 到 私 钥 的 。 在 密码 学 中 ， 
保护 之 外 ， 其 他 和 
都 有 被 攻破 的 可 能 性 。 


大 


行 解密 ， 另 一 广 


私 钥 的 情况 下 都 可 


了 强 指定 验 说 


F 何 组 成 在 各 种 各 样 的 攻击 下 都 是 


言 息 是 关于 Alice 
即 已 知 这 个 
除了 私 钥 被 严格 
扼 弱 的 ， 


此 方案 具有 可 授权 性 的 缺陷 ， 
给 定 y=g8” modp 的 知识 加， 人 有 


具体 描述 如 下 : 


E 何 人 在 没有 指定 验证 者 


为 任意 第 三 


"a 


方 在 得 到 


以 验证 r=H(y'y% modp)=H(K) 是 否 成 立 。 


5=(7,s,C) 后 ， 计算 


KE=yy modp=(sy modp ， 即 可 在 不 知道 指定 验证 者 Bob 
的 私 钥 的 情况 下 ， 验 证 = 已 (yw yw mod p) 
F 者 的 定义 。 攻 击 者 在 消息 未 到 达 指 定 验证 者 之 
前 提取 出 yw =sg” modp 的 知识 ， 解 签 密 后 一 方 曾 


|= pi 
ET 


立 ， 因此 违背 


可 对 密 文 进 


证 者 签 密 来 说 是 极 不 安全 的 。 


看 可 得 知 签 密 的 真实 来 源 ， 这 对 于 强 指定 验 
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3 ”本 文 方案 的 构造 


本 文 给 出 了 一 个 新 的 强 指定 验证 者 签名 的 签 密 方案 ， 此 
方案 可 抵抗 授权 攻击 ， 相 对 于 Sujata 的 签 密 方案 有 一 定 的 安 
全 性 提升 。 本 方案 基于 Lee 的 强 指 定 验 证 者 签名 方案 中， 将 
Schnorr 签名 00 和 Wang 的 可 认证 加 密 方案 (1 结合 , 本 文 的 方 
案 使 用 安全 的 对 称 加 密 算法 (BQ,Dx 0)) 。 

a) 系 统 初 始 化 :两 个 安全 素数 P,9 (4 为 p-1 的 素 因子 )， 
生成 元 8e2, 阶 为 9， 单 向 哈 希 函数 HH， 输出 的 值 属于 2, 。 

b) 密 钥 生 成 :Alice 选择 自己 的 私 钥 %e2Z，, 计算 相对 应 的 
钥 y,=g* modp， 同样， 指定 验证 者 Bob 也 有 密 钥 对 G%,y,) 
hy,=g8™* modp。 

c) 签 密 的 生成 

(a)Alice 选择 一 个 随机 值 cs2., ; 

(b)Alice 以 如 下 方式 计算 和 +: 


r=g*modp 


Sy 
如 这 


Ss=k+xrmodg 

c=y, modp 

(c)Alice 将 c 按 位 平均 截 成 左右 两 半 部 分 4,c<，( 若 c 长 度 
为 奇数 ， 则 左 短 右 长 ) ， 并 计算 : 

t=H(m,c) 

D= Enc. (m) 
(d)Alice 生成 的 签 密 文本 为 5=(cnD) 。 
d) 解 签 密 
(a)Bob 收 到 签 密 文本 5=(m,1,D) 后 , 用 自己 的 私 钥 思 计算 


Be’: 


PE 


Cc'=(ry,)” modp 
(b)Bob 以 相同 的 方式 将 c 分 成 两 部 分 ， 计 算 : 


m= Dec,, (D) 


t=H(m,c') 

(ce 如果 (b) 中 等 式 成 立 则 签 密 文本 验证 通过 。 

e) 签 密 副本 的 生成 

指定 验证 者 签名 的 特性 是 只 有 被 事先 指定 的 验证 者 才能 
知道 签名 的 真实 来 源 ， 验 证 者 无 法 让 任意 第 三 方 相 信 签 名 的 
真实 来 源 。 任 意 第 三 方 之 所 以 不 能 知道 签名 的 真实 来 源 ， 是 
因为 指定 验证 者 也 可 以 生成 一 个 与 签名 者 签名 不 可 区 分 的 签 
名 副本 。 为 了 使 第 三 方 难以 区 分 出 传送 的 签 密 文本 是 Alice 
生成 的 还 是 Bob 生成 的 ，Bob 验证 通过 后 模拟 生成 签 密 副 本 
9 ， 具 体 过 程 如 下 ; 

(a)Bob 选择 一 个 随机 值 * &2，; 

(b)Bob 以 如 下 方式 计算 出 ,1,D': 


r'=g" modp 


c=(rYy )* modp 
(c) 以 相同 的 方法 将 c 分 成 两 部 分 ,ce" ,计算 : 
t=H(m,c') 
D'= Enc,, (m) 


(DBob 生成 的 签 密 副 本 为 5=(m,1,D') 。 
4 ”方案 的 安全 性 与 效率 分 析 


于 方案 中 c=0y4)”modp , 仪 掌握 签 密 者 和 指定 验证 者 
的 公 钥 以 及 ys 的 知识 是 不 能 够 生成 一 个 有 效 的 签名 以 及 验 
证 签名 的 有 效 性 ， 因 为 即使 掌握 了 这 些 知识 生成 一 个 有 效 签 
名 或 者 验证 签名 有 效 性 ， 面 对 的 问题 仍然 是 求解 离散 对 数 问 
题 。 本 文 的 方案 具有 不 可 伪造 性 、 机 密 性 、 不 可 传递 性 以 及 
不 可 授权 性 。 
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4.1 正确 性 
接收 者 Bob 收 到 签 密 文 本 5=(r,1,D) 后 可 正确 验证 签名 
的 有 效 性 ， 原 因 如 下 : 
ac=(0 =g w=y* =y'=c 将 c 同样 的 方法 分 成 
两 部 分 cc ; 


b) 当 c/=c, 了 时 ， m= Dec(D)= Dec,,(D)， 


c) 当 上 =a 时 ，1t=H(me)=H(me) 。 
4.2 机 密 性 
除了 指定 接收 者 ， 其 他 任何 人 不 能 从 签 密 文 本 中 提取 出 
任何 关于 消息 m 的 任何 信息 。 
天 为 哈 希 函数 的 单 向 性 ， 在 恢复 c=(ry,)”modp 后 ， 很 
难 从 1=H(m,a) 得 到 关于 消息 mm 的 任何 信息 。 
为 为 (Enc.(),Dec()) 为 安全 的 对 称 加 密 解 密 算 法 对 。 必 须 
得 到 密 钥 才能 进行 解密 ， 要 想得到 密 钥 ， 必 须知 道 E 和 并 ， 
又 因为 离散 对 数 问题 的 困难 性 ， 所 以 很 难 从 r=g*modp 和 
y=g8”modp 中 得 到 和， 因此 本 方案 是 安全 的 。 

引 理 1 对 于 所 有 的 概率 多 项 式 时 间 敌 手 4， 存 在 一 个 


可 忽略 的 函数 neg! ， 满 足 PtPrivKXCD =< 了 +nes1m) ， 则 敌手 


4 在 选择 明文 攻击 下 是 不 可 区 分 的 。 

在 方案 中 如 果 敌 手 4 成功 区 分 出 mm ， 即 r=x， 则 意 
味 着 敌手 攻破 了 安全 的 对 称 加 密 方案 。 因 为 对 称 加 密 的 密 文 
不 可 区 分 性 ， 所 以 本 文 的 方案 是 不 可 区 分 的 。 这 里 的 对 称 加 
密 可 以 用 别 的 方式 构造 ， 且 可 证 明 安全 ， 这 里 为 了 方案 的 工 
整 性 ， 不 做 详细 描述 。 
4.3 不 可 伪造 性 
方案 使 用 Schnorr 签名 生成 (7,s) ， 根 据 [4] 中 Schnorr 签 
名 的 可 证 明 安 全 性 ， 任 何 适 应 性 敌手 ， 包 括 Bob 不 能 伪造 一 
个 对 消息 m 的 签 密 文本 5=(7,4D) ， 满 足 : m=PDec.,(D)， 
t=H(lm,c) 其 中 r=g*modp， 
否则 敌手 可 以 成 功 伪造 一 个 合法 的 Schnorr 签名 。 所 以 本 方 
案 是 安全 的 。 

引 理 2 ”如 果 不 存 在 任何 概率 多 项 式 时 间 算 法 能 以 不 可 
忽略 的 概率 赢得 以 上 游戏 ， 则 称 方案 在 适应 性 选择 消息 攻击 
下 是 存在 性 不 可 伪造 的 。 

如 果 上 述 游戏 中 ,敌手 对 挑战 者 进行 一 系列 的 询问 之 后 ， 
向 挑战 者 返回 一 个 合法 的 消息 签 密 文本 ， 那 么 将 敌手 伪造 签 
密 的 能 力 规约 到 敌手 攻破 schnorr 签名 的 问题 上 。 因 为 schnorr 
签名 是 不 可 伪造 的 ， 所 以 本 文 的 方案 是 不 可 伪造 的 。 

4.4 不 可 授权 性 

本 方案 中 1=HGn,Gy)% modp)=H(m,y,'yw') ， 仅 掌握 签 密 者 
和 指定 验证 者 的 公 钥 以 及 ys 的 知识 是 不 能 够 生成 一 个 有 如 
的 签名 以 及 验证 签名 的 有 效 性 ， 该 方案 在 验证 过 程 中 不 存在 
可 授权 性 的 缺陷 ， 只 有 掌握 了 指定 验证 者 私 钥 的 人 才能 验证 
签名 的 有 效 性 ， 面 临 的 问题 是 离散 对 数 问 题 ， 这 在 现 有 的 计 
算 能 力 下 是 困难 问题 。 

4.5 不 可 转移 性 

Bob 生成 的 签 密 副本 5'=(m,1,D) 与 Alice 的 签 密 

5=(7,4,D) 是 不 可 区 分 的 ， 从 Alice 的 有 效 签 密 文本 里 随机 选 


的 一 个 (0,7,D) ,因为 (1,7) 都 是 k'eZ. 决 
定 ，D' 和 D 是 不 可 区 分 的 ， 所 以 
1 


Pr[Gr,t,D)=(7,7,D)]=—— 
gq—1 


Ss=k+xrmodg c=y, modp 。 


keZ. 决定 ， (rt 


PG, D)=0,7,D]=— 
9 一 1 
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因此 Bob 生成 的 签 密 副本 5'=(,1,D) 与 Alice 的 签 密 
5=(r,1,D) 的 分 布 是 相同 的 ， 因 此 是 不 可 区 分 的 。 

4.6 效率 分 析 
在 本 方案 中 , 签 密 阶 段 的 计算 复杂 度 为 2z +15 +Iv， 解 
签 密 文 本 的 过 程 中 的 计算 复杂 度 为 2 天 +r+IDy 。 
(ZT,Ty,Ts 分 别 代表 模 指 数 运算 、 哈 希 运 算 、 模 乘 运算 、 
双 线 性 映射 运算 ) 。 与 文献 2] 相 比 ， 实 现 可 抵抗 授权 攻击 的 
性 质 的 同时 不 增加 额外 的 开销 。 此 外 ， 本 文 分 析 等 功能 的 签 
密 方案 计算 效率 ， 性 能 比较 结果 如 表 1 所 示 。 

表 1 相关 方案 的 性 能 比较 结果 到 


下 


ll 


a 


Table 1 The performance of the relevant Scheme 
相关 方案 签 密 坚 签 密 总 计算 开销 


文献 [6] 37; +3T, +Ty +27, 
文献 [7] 47; +47 +Ty +3T, 
文献 [2] 1T: +17, +1T, 37; +1T, +1T7, 47; +27, +2T, 
本 文 方案 27 +1T, 二 17 272 +1T, 二 17 4T; +27, 二 27v 
为 了 展示 本 方案 的 实际 计算 开销 和 相对 应 的 时 间 开 销 
线 图 ， 本 文 对 方案 在 集成 开发 环境 Visual 2012 中 用 C++ 进 
行 了 代码 实现 ， 在 代码 实现 过 程 中 用 到 密码 学 库 Crypto++。 
实现 环境 主要 参数 如 表 2 所 示 。 
表 2 实验 环境 主要 参数 
Table 2 Main parameters of the experimental environment 
项 参数 


47 + 47; 十 377 
47 十 475 十 477 


TT +7T; 十 Try 十 577 
8T: 十 875 + Ty 十 777 


操作 系统 版 本 Windows 7 旗舰 版 Service Pack 1 
系统 类 型 64 位 操作 系统 
处 理 器 Inte!®) Core™ i5-4590S CPU @ 3.00 GHz 
安装 内 存 4.00 GB 


当 签 密 者 和 指定 验证 者 的 私 钥 确 定 ( 本 实验 中 
|=w%|=512 ) ， 当 消息 长 度 不 同时 ， 签 密 与 解 签 密 过 程 运行 
时 间 曲 线 图 如 图 3 所 示 。 


一 一 signcyption 
一 一 unsigneryption 


行 时 间 (ms) 
局 
S 


运 


消息 m 的 长 度 (bit) 
图 3 签 密 与 解 签 密 过 程 运行 时 间 曲 线 图 
Fig.3 The running time of signcryption and unsigncryption 
通过 理论 和 实现 分 析 ， 并 得 出 结论 : 本 方案 高 效 且 具有 
一 定 的 实际 应 用 价值 。 


5 ”结束 语 


本 文 对 Sujata 方案 进行 授权 攻击 ， 并 提出 了 
散 对 数 问题 的 强 指定 验证 者 的 签 密 方案 。 本 方案 不 需要 安全 
的 信道 就 可 实现 签 密 者 和 指定 验证 者 之 间 的 秘密 传输 5。 本 
方案 被 证 明 在 适应 性 选择 明文 攻击 下 是 安全 的 。 此 外 ， 本 方 
案 满 足 不 可 授权 这 一 安全 要 求 ， 并 且 可 以 防止 签 密 传输 过 程 
中 密 文 被 窜改 的 情况 09， 因 此 本 文 的 方案 有 很 多 实际 的 应 
用 ， 比 如 在 区 块 链 资产 证 明 07 苔 、 电 子 投票 等 领域 。 
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